Normativa

Shape 5 Live Search

logo

Oggi il dato personale è il mezzo per il mantenimento di molti dei servizi online, specialmente di quelli gratuiti. La pubblicità è, infatti, uno dei pochi modelli di business che funziona su internet, e il tracciamento degli utenti per raccogliere quanti più dati possibili lo rende più profittevole. I cookie (ma anche gli altri identificatori online) sono uno dei mezzi più utilizzati, dalle aziende, per raccogliere i dati degli utenti. 


Cookie

I cookie sono file di puro testo inviati da un sito web direttamente nel computer dell'utente che lo visita. Dal nome appaiono innocui, nei testi normativi vengono spesso definiti come “marcatori”, ma più correttamente dovrebbero essere chiamati “identificatori persistenti”. 
I cookie nascono, in realtà, come strumenti per semplificare la navigazione online (consentendo al sito di ricordare le scelte dell'utente), ma subito le aziende si resero conto delle loro potenzialità. Un cookie consente di identificare e riconoscere l'utente (“sono l'utente n. 12453434”), o meglio il dispositivo tramite il quale l'utente accede a quel sito. 
Il riconoscimento permette di realizzare meccanismi di autenticazione (login), di memorizzare dati utili alla sessione di navigazione (preferenze sull'aspetto grafico, sulla lingua del sito), di associare univocamente dati memorizzati dal server (contenuto del carrello di un sito di acquisti online), di tracciare la navigazione dell'utente a fini statistici o anche pubblicitari (inviandogli pubblicità personalizzata). Le aziende hanno compreso che i cookie possono essere impostati anche su siti di altre persone, e così DoubleClick (poi acquisita da Google) iniziò a tracciare gli utenti durante la navigazione online, realizzando gli annunci personalizzati che seguono l'utente tra vari siti. 

Video What is a cookie

Video Placeholder

Proprio quest'ultimo aspetto, cioè la possibilità di “seguire” il percorso di navigazione dell'utente (tra vari siti) e quindi registrare tale percorso, che consente di associare all'utente degli specifici comportamenti in rete e quindi classificarlo (profilazione), poiché incide fortemente sulla riservatezza degli utenti del web, ha convinto numerosi paesi, in particolar modo quelli europei, a regolamentare l'utilizzo dei cookie. 

In base al nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR), i cookie sono dati pseudonimi, quindi dati personali dove gli elementi identificativi sono stati sostituiti da altri elementi (quali stringhe di testo e numeri). I dati pseudonimi, a differenza di quelli anonimizzati, sono comunque ritenuti dati personali (anche se soggetti ad una tutela ridotta), perché comunque incrociandoli con altre informazioni è possibile giungere all'identificazione della persona, o meglio all’identificazione univoca del dispositivo utilizzato per l’accesso e la navigazione online. 

 

Normativa europea

La normativa europea già nel 2002 prevedeva una regolamentazione embrionale dei cookie, stabilendo l'obbligo di informativa e sancendo la prescrizione di comunicare agli utenti come disabilitare i cookie tramite browser. All'epoca, quindi, già esisteva l'obbligo di ottenere il consenso dall'utente, anche se esso poteva essere implicito (e generalmente in tal senso lo si intendeva). Infatti, questo è diventato lo standard del settore. 

La direttiva comunitaria 2009/136/CE ha modificato la direttiva 2002/58/CE (E-Privacy), imponendo al gestore del sito web di informare l'utente del fatto che fa uso dei cookie sul sito, e in determinati casi a ottenere il consenso preventivo all'uso degli stessi. 
La direttiva europea del 2009 si limitava a creare un quadro normativo all'interno del quale erano, eventualmente, i singoli Garanti nazionali ad definire una regolamentazione di dettaglio (si veda la mappa di attuazione della Cookie Law in Europa). 

Direttiva 2009/136/CE 
Considerando 66: "Possono verificarsi tentativi da parte di terzi di archiviare le informazioni sull’apparecchiatura di un utente o di ottenere l’accesso a informazioni già archiviate, per una varietà di scopi che possono essere legittimi (ad esempio alcuni tipi di marcatori, «cookies») o implicare un’intrusione ingiustificata nella sfera privata (ad esempio software spia o virus). Conseguentemente è di fondamentale importanza che gli utenti siano informati in modo chiaro e completo quando compiono un’attività che potrebbe implicare l’archiviazione o l’ottenimento dell’accesso di cui sopra. Le modalità di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere il più possibile chiare e comprensibili. Eccezioni all’obbligo di comunicazione delle informazioni e di offerta del diritto al rifiuto dovrebbero essere limitate a quei casi in cui l’archiviazione tecnica o l’accesso siano strettamente necessari al fine legittimo di consentire l’uso di un servizio specifico esplicitamente richiesto dall’abbonato o dall’utente. Il consenso dell’utente al trattamento può essere espresso mediante l’uso delle opportune impostazioni di un motore di ricerca o di un’altra applicazione, qualora ciò si riveli tecnicamente fattibile ed efficace, conformemente alle pertinenti disposizioni della direttiva 95/46/CE. L’esecuzione di detti requisiti dovrebbe essere resa più efficace tramite i maggiori poteri conferiti alle autorità nazionali competenti".

Articolo 3 - "Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo, a norma della direttiva 95/46/CE, tra l’altro sugli scopi del trattamento. Ciò non vieta l’eventuale archiviazione tecnica o l’accesso al solo fine di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dall’abbonato o dall’utente a erogare tale servizio".

Articolo 5.3, modificato della DIRETTIVA 2002/58/CE - "Gli Stati membri assicurano che l'uso di reti di comunicazione elettronica per archiviare informazioni o per avere accesso a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente sia consentito unicamente a condizione che l'abbonato o l'utente interessato sia stato informato in modo chiaro e completo, tra l'altro, sugli scopi del trattamento in conformità della direttiva 95/46/CE e che gli sia offerta la possibilità di rifiutare tale trattamento da parte del responsabile del trattamento. Ciò non impedisce l'eventuale memorizzazione tecnica o l'accesso al solo fine di effettuare (o facilitare Nota: termine rimosso nel testo finale) la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria a fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente".


Regolamentazione italiana

La normativa in materia di cookie, di cui alle direttive europee, è stata recepita in Italia con la nuova formulazione dell'art. 122 D. Lgs 196/2003. 

 Art. 122. Informazioni raccolte nei riguardi del contraente o dell'utente
"1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente
2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e chiara utilizzabilità per il contraente o l'utente". 

La normativa europea non è entrata subito in vigore per i ritardi dei Garanti nazionali nel predisporre la regolamentazione di dettaglio. 
L'8 maggio 2014 anche il Garante per la Protezione dei Dati Personali italiano, come già in precedenza avevano fatto altri Garanti europei, ha emanato il Provvedimento “Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie” (Gazzetta Ufficiale n. 126 del 3 giugno 2014), dettante le regole sulle modalità di adempimento agli obblighi di rilascio dell'informativa e di acquisizione del consenso degli utenti in caso di utilizzo di cookie. Il provvedimento è entrato in vigore il 3 giugno del 2015

Video Cookie e privacy istruzioni per l'uso

Video Placeholder


La normativa, e il relativo provvedimento del Garante (pagina del Garante sui cookie), si applica a tutti i siti che, a prescindere dalla presenza di una sede nel territorio dello Stato, installano cookie sui terminali degli utenti, utilizzando quindi per il trattamento "strumenti situati sul territorio dello Stato" (art. 5, comma 2, del Codice privacy). E' da precisare che i cookie (e tecnologie similari) vengono installati sul computer dell'utente e sono da considerare “strumenti situati nel territorio italiano” utilizzati al fine del tracciamento dell'utente. 
In realtà le ultime pronunce dei Garanti e dei tribunali tendono a valutare la giurisdizione in base a parametri ulteriori rispetto al criterio di stabilimento. 
La normativa si applica anche alla navigazione da cellulari e smartphone (mobile), e non solo ai cookie ma anche a tutti gli strumenti analoghi (web beacon, clear gif o similari) che consentono l'identificazione del dispositivo usato dall'utente. 

La riforma europea si presenta come un chiaro rimprovero a quelle aziende che utilizzano termini di servizio poco chiari, troppo complessi, difficili da comprendere, ma anche a quelle che tendono a modificare troppo spesso i termini di servizio, determinando incertezza negli utenti su ciò che accade ai propri dati. Anche perché a seguito di tali modifiche spesso si amplia, sulla base di una scelta unilaterale, il numero dei dati utilizzati e gli scopi per i quali vengono utilizzati, rispetto a quanto era stato accettato dall'utente in sede di iscrizione al servizio.
Secondo l'Europa, infatti, i dati dovrebbero essere privati per impostazione predefinita (“privacy by default”).  Anche qui è una palese critica a quelle aziende che tendono ad impostare di default fin troppi dati come “pubblici” e “condivisi” automaticamente, fin quando l'utente non decide di leggere le impostazioni privacy e di modificarle. Insomma, gli americani osteggiano il principio dell'opt-in, già presente nelle legislazioni europee ma fortemente avversato dalle aziende che preferiscono il meno tutelante opt-out, il quale però permette all'azienda di raccogliere quanti più dati possibili dei suoi utenti. 

Le prime applicazioni europee del blocco preventivo (es. Regno Unito) hanno, però, mostrato come fino al 90% degli utenti non conceda il consenso, spesso anche per una mancata consapevolezza di cosa siano realmente i cookie e di come siano utilizzati. Per questo motivo il Garante locale ha modificato la normativa di dettaglio consentendo nel Regno Unito l'invio di cookie prima di chiedere il consenso, purché siano rispettati gli altri obblighi di informativa e di messa a disposizione degli strumenti per il blocco e la cancellazione dei cookie. E' ovvio che tale regolamentazione è valida solo nel Regno Unito, mentre in Italia occorre rispettare la regolamentazione predisposta dal Garante italiano. 

 

GDPR e cookie

Il nuovo Regolamento europeo in materia di protezione dei dati personali (GDPR) va a sostituire la normativa in materia di cookie chiarendo alcuni aspetti e, comunque, rafforzando la tutela dei dati degli individui. Il Considerando 30 menziona espressamente i cookie: 

Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle. 

Il Considerando 26, pur non menzionandoli, ci aiuta a capire che i cookie sono dati pseudonimi, e quindi dati personali. Aggiunge, altresì, che il GDPR non si applica al trattamento di informazioni anonime, anche per finalità statistiche e di ricerca (quindi fissando una esenzione per i cookie di analytics). 


Cookie Law e Data Protection

La normativa in materia di tutela dei dati personali (Data Protection) ha lo scopo di tutelare la sfera privata dell'utente, e in particolare si riconosce che il dispositivo (computer, smartphone, tablet) con il quale l'utente accede ad un sito web è parte della sfera privata, e quindi va protetto contro qualsiasi intrusione non autorizzata. 
La Cookie Law, invece, si occupa esclusivamente delle azioni consistenti nella registrazione di informazioni (cookie) sul dispositivo di un utente oppure nell'accesso ad informazioni già registrate su quel dispositivo. Tutte le azioni precedenti o successive alla registrazione o all'accesso a tali informazioni non ricadono nella regolamentazione della Cookie Law, bensì nell'ambito della normativa generale (Data Protection). 
Per chiarire, se il gestore di un sito vuole condurre un'analisi dell'uso del sito da parte degli utenti, a fini di statistica (analytics), dovrà inviare dei cookie al terminale dei visitatori. L'invio e quindi la registrazione sul terminale dell'utente dei cookie ricade, appunto, nella Cookie Law. Qualsiasi ulteriore accesso ai cookie già impiantati sul terminale dell'utente ricade anch'esso sotto la Cookie Law. 
Però, nel momento in cui il gestore del sito vuole analizzare le informazioni raccolte tramite i suddetti cookie, questa analisi e tutti i trattamenti successivi, avvenendo al di fuori del terminale dell'utente,  non sono soggetti alla Cookie Law bensì alla Data protection. 

Appare evidente che la Cookie Law fornisce una protezione superiore rispetto alla Data Protection, visto che quest'ultima prevede numerosi casi in cui il consenso informato non è necessario, mentre la Cookie Law non distingue tra dati personali e non personali e richiede sempre il consenso (a parte il rilascio di cookie tecnici). 
Tutte la parti che registrano oppure ottengono l'accesso alle informazioni nel terminale dell'utente sono tenute al rispetto della Cookie Law, indipendentemente dall'uso delle informazioni (cioè il trattamento successivo dei dati ottenuti tramite cookie). Il gestore di un sito web è obbligato anche se tale registrazione o accesso avviene da parte di terzi (es. un social network), in quanto detto accesso si realizza tramite il suo sito (embed, banner, links, script, social button), cioè il gestore consente al terzo di utilizzare le sue risorse per l'accesso al terminale dell'utente. 
La Cookie Law non consente ad una terza parte di registrare o accedere ad informazioni presenti sul terminale dell'utente in assenza di una corretta informazione e di un consenso da parte dell'utente. Per cui il gestore del sito diventa responsabile per i cookie impostati da una terza parte tramite il suo sito (vedi le FAQ del Garante, punto 6). Non è necessario un accordo preventivo tra il gestore del sito e la terza parte, ma può essere utile al fine di chiarire agli utenti del sito quali dati vengono raccolti e a quali fini dalla terza parte. 
Il fattore decisivo per stabilire chi è responsabile dei cookie impostati e dell'accesso alle informazioni sul terminale dell'utente sta nel controllo del contenuto del sito. Il soggetto che controlla il contenuto del sito, cioè ha la possibilità tecnica di inserire o eliminare embed o social button, è responsabile per l'ottenimento del consenso. 

Fermo restando che alcune categorie di cookie (anche detti tecnici) sono esentate da consenso, l'installazione di cookie sui terminali degli utenti in assenza del preventivo consenso comporta una sanzione da 10mila a 120mila euro.


Consenso ai cookie

La regola generale è che per l'invio e l'accesso ai cookie occorre il consenso. La finalità del consenso è di assicurarsi che l'utente abbia un reale controllo sulle informazioni che vengono registrate sul suo terminale o alle quali si accede. Il Considerando 32 del GDPR prevede che:

"il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso".

Quindi, prima che il trattamento dati abbia inizio, l'utente deve fornire un consenso che sia inequivocabile, liberamente dato, volontario, specifico e informato

Consenso libero vuol dire che l'utente deve avere una reale scelta, per cui all'utente non può essere posta l'alternativa tra l'accettare tutti i cookie del sito oppure non navigare il sito e andarsene. In realtà non è previsto dalla normativa che un sito debba funzionare anche senza cookie, per cui può ritenersi conforme alla legge che in assenza di consenso al visitatore sia preclusa la navigazione del sito. Però occorre distinguere tra i vari servizi del sito, un utente non può essere soggetto al ricatto di dover accettare cookie per la pubblicità personalizzata se vuole semplicemente utilizzare dei servizi forniti dal sito che non necessitano di quel cookie. Ciò comporta che il consenso deve essere separato per i tipi di cookie e quindi in relazione alla finalità (Considerando 32: "Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste").
Per questo motivo il consenso fornito tramite le impostazioni dei browser non è considerato valido, innanzitutto perchè si limita ai cookie HTTP e non copre cookie di altro tipo (es. Flash Cookie) o altre tecnologie (finger-printing), ma anche perchè il browser tratta tutti i cookie allo stesso modo, per cui l'utente si troverebbe di fronte l'aternativa di accettare tutti i cookie oppure lasciare il sito. 

Consenso volontario vuol dire che l'utente deve avere l'opportunità di revocare un consenso già fornito. Non è necessario che sia fornito uno strumento apposito per revocare il consenso, è sufficiente che all'utente sia spiegato come fare ciò (procedendo alla cancellazione dei cookie), anche eventualmente indirizzando a pagine esterne al sito. 

Consenso specifico significa che devono essere precisamente indicati i dati che vengono raccolti e le finalità di utilizzo degli stessi dati. Nel caso dei cookie il consenso deve essere collegato alla finalità di registrare informazioni sul terminale dell'utente o di accedere a tali informazioni. 
Il consenso deve essere informato, nel senso che le informazioni fornite all'utente devono essere complete e veritiere. In particolare l'utente deve essere posto a conoscenza delle conseguenze delle sue scelte, cioè cosa accade se da il consenso all'uso dei cookie oppure lo rifiuta o lo revoca. 

Infine, il consenso deve essere preventivo, nel senso che deve aversi prima che i cookie vengano inviati al terminale dell'utente. 

Garante privacy: Faq in materia di cookie 
"Nel caso in cui un sito consenta la trasmissione anche di cookie di “terze parti” (v. punto 1), l'informativa e l'acquisizione del consenso sono di norma a carico del terzo. È necessario che l'utente venga adeguatamente informato, seppur con le modalità semplificate previste dalla legge, nel momento in cui accede al sito che consente la memorizzazione dei cookie terze parti, ovvero quando accede ai contenuti forniti dalle terze parti e, comunque, prima che i cookie vengano scaricati sul suo terminale". 

 

Informativa breve e informativa estesa

Le modalità semplificate individuate per raccogliere il consenso prevedono un banner (informativa breve), di caratteristiche tali da determinare una discontinuità nell'esperienza di navigazione dell'utente, e quindi tale da attirarne l'attenzione (un banner “affogato”, casomai con gli stessi colori del sito, potrebbe non essere conforme). Nel banner deve essere precisato se il sito utilizza cookie, in particolare se di terze parti e di profilazione, deve essere fornito il link all'informativa estesa, deve essere chiesto il consenso per i cookie e indicata la possibilità di negare tale consenso. 

Attraverso detto banner l'utente deve poter accedere a tutte le informazioni sui cookie veicolati dal sito, elencati per categorie, sulla finalità degli stessi, sulle modalità per l'eventuale disabilitazione dei cookie. L'informativa sui cookie è una sezione dell'informativa privacy, non un documento separato, ma può essere pubblicata in una pagina separata, purchè poi nel banner sia richiamata sia l'informativa privacy che quella sui cookie. 

Il consenso può essere fornito in molti modi, visto che la Cookie Law non prende posizione in merito, ma occorre che esso sia conseguenza certa di una scelta volontaria. La normativa non prevede che sia esplicito, per cui un consenso implicito è accettabile a condizione che sia inequivocabile. In tal senso la totale inattività dell'utente non potrà mai ritenersi valida. 
Deve trattarsi di un comportamento attivo. Non è necessario, però, che vi sia un'interazione col banner, per cui anche il click sulla pagina o su un link in essa presente può indicare consenso dell'utente, o addirittura il semplice scorrimento della pagina, purchè ciò sia ben evidenziato nel banner e l'utente abbia il tempo per poterlo leggere (quindi un banner che scompare anche se l'utente per mero errore scorre alcune righe della pagina non è conforme). 
Tale consenso potrà essere documentato attraverso un cookie, che essendo tecnico non necessita di ulteriore consenso, che potrà essere depositato sul terminale dell'utente per evitare di dover richiedere ogni volta il consenso. 

L'informativa estesa (raggiungibile dal link nel banner e dal link "Informativa" che deve essere presente in tutte le pagine del sito) dovrà contentere le informazioni di cui all'art. 13 d. lgs 196/2003 (Codice Privacy), l'indicazione dei cookie che veicola il sito che potrà essere fatta per categorie (anche suddivise per finalità), le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti (in caso non si conoscano i siti si può linkare il servizio YourOnlineChoices che offre indicazioni su una serie di servizi di profilazione pubblicitaria. 

banner cookie


Categorie di cookie

È fondamentale la finalità dei cookie, per cui potranno essere specificati all'interno dell'informativa estesa per categorie, ad esempio: 

- Advertising;
- Analytics;
- Media management;
- Navigazione;
- Performance / networking;
- Shopping;
- Social network;
- Sondaggi;
- Preferenze utente;
- Profilazione. 

La migliore categorizzazione utilizzabile all'interno dell'informativa estesa risiede, però, nell'analisi del grado di invasività dei cookie nella sfera privata dell'utente. 


Cookie tecnici

I cookie tecnici hanno un grado di invasività minimo, e per tale motivo sono esenti dal consenso. Occorre solo indicarli nell'informativa estesa, non occorre alcun banner. 

La normativa prevede due ipotesi di esenzione dal consenso. Le ipotesi sono analizzate dal Gruppo Article 29
A) il cookie è necessario per la trasmissione di una comunicazione su una rete di comunicazione elettronica;
B) il cookie è strettamente necessario per fornire un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente. 
I due criteri sono alternativi (“or”), è sufficiente che sia rispettato uno dei due perché il cookie sia esentato da consenso. 

Il criterio A è estremamente restrittivo. Il fatto che il cookie assista la trasmissione di una comunicazione non è sufficiente. L'inciso “for the sole purpose”, al solo fine di instradare la trasmissione, è indicativo del fatto che in assenza del cookie la comunicazione non deve essere possibile. L'inciso “or facilitating” è stato rimosso, ad ulteriore conferma dell'applicazione restrittiva del criterio. 
Quindi il cookie deve essere essenziale per l'identificazione del punto finale della comunicazione, per lo scambio dei pacchetti di comunicazione o per la verifica degli errori di trasmissione e perdite di dati. Un esempio è dato dai cookie di bilanciamento del carico (loadbalance) utilizzati dai provider. 

Il criterio B richiede la presenza di due elementi: 
- il servizio è stato espressamente richiesto dell'utente con un'azione positiva (es. click);
- il cookie è strettamente necessario per il funzionamento del servizio, per cui in assenza del cookie il servizio non funziona.

I due parametri devono sussistere contemporaneamente perché un cookie rientri nell'esenzione B. Un esempio può essere dato dai cookie multimediali, necessari per la visualizzazione dei video in tecnologia Flash. 
Il problema ovviamente è di stabilire i confini delle funzionalità del servizio. Ad esempio, un plugin sociale ha la funzione di consentire la pubblicazione di un link sul profilo del social network service (SNS), ma nel contempo svolge anche altre funzioni, come raccogliere dati utilizzati dal SNS a fini pubblicitari. Quindi i parametri devono essere interpretati in base alle funzionalità del servizio espressamente richiesto dall'utente (si deve tenere presente la prospettiva dell'utente non del sito web). Il cookie è esente da consenso solo se quell'espressa funzionalità richiesta dall'utente richiede necessariamente il cookie. 

Nel caso dei plugin sociali, il cookie consente l'identificazione dell'utente, in assenza della quale non sarebbe possibile pubblicare il link all'articolo sul suo profilo. Il cookie, quindi, è essenziale alla funzionalità di pubblicazione sul profilo dell'utente del SNS un link. Però se quel cookie ha anche altre funzioni, come ad esempio tracciare l'utente, tale funzione ricade al di fuori dell'esenzione, e il cookie in sé non è esentato dal consenso. In tale caso occorre comunque che sul sito vi sia una adeguata informazione e la richiesta di consenso (non è necessario il consenso per il singolo cookie, è sufficiente un solo consenso generale). 

Chiaramente occorre distinguere tra utenti loggati e non loggati (oppure non iscritti) al SNS. Gli utenti che navigano già loggati nel SNS si aspettano di poter utilizzare i social plugin, e quindi detti cookie rientrano nell'esenzione B (Article 29: “many “logged in” users expect to be able to use and access social plug-ins on third party websites. In this particular case, the cookie is strictly necessary for a functionality explicitly requested by the user and CRITERION B applies”), purché i cookie scadano nel momento in cui l'utente “esce” (log-out) dal social. Altre funzionalità del cookie sono invece soggette a consenso. 
Di contro se l'utente è non loggato, o addirittura non iscritto, l'utilizzo del cookie è sempre soggetto a consenso (generalmente i cookie dei SNS non tracciano -o non dovrebbero tracciare- i non utenti o utenti non loggati). Il problema è che il gestore del sito non è in grado di distinguere tra utenti loggati o non loggati, ma solo il titolare dei cookie può farlo, e se non lo fa rimane a carico del gestore del sito richiedere il consenso per i cookie in tutti i casi. 

È importante notare che anche la durata del cookie ha incidenza sul consenso. La “vita” del cookie deve essere comunque correlata alla funzionalità richiesta dall'utente, per cui deve scadere al massimo alla fine della sessione del browser. Occorre distinguere caso per caso, perciò il cookie relativo al carrello di shopping può avere una durata superiore, consentendo di mantenere i prodotti nel carrello anche nel caso in cui l'utente chiuda il browser prima di terminare l'acquisto. 
In tal senso il cookie di autenticazione (login), che conserva le credenziali dell'utente consentendogli di loggarsi automaticamente all'accesso del sito ricade sotto l'esenzione solo se vi è specifica check box con la quale viene espressamente chiesto all'utente se il sito deve ricordare le credenziali anche oltre la chiusura della sessione del browser. L'utilizzo di un cookie persistente (cioè che rimane anche dopo la chiusura del browser) in caso contrario non ricade nell'esenzione. Anche se bisogna dire che un cookie che ricorda i tentativi di login al fine di evitare attacchi brute force dovrebbe rientrare nell'esenzione B. 


Cookie di analytics e personalizzazione

La seconda categoria riguarda i cookie con un grado di invasività medio. Si tratta dei cookie di web analytics e quelli che conservano le scelte di personalizzazione del sito da parte dell'utente.

I cookie analitici di prima parte, cioè impostati direttamente dal titolare del trattamento coincidente col gestore del sito (tool di analytics con script presenti direttamente sul dominio del sito web), ma anche quelli di terza parte, non ricadono nei criteri di esenzione in quanto non sono “stricly necessary” per il funzionamento del sito, anche se possono essere molto utili per il miglioramento del sito stesso. I cookie di analytics si rivelano spesso importanti per realizzare la migliore esperienza di navigazione per l'utente e in generale per migliorare il sito web e i servizi da esso offerti, così incoraggiando i cittadini ad utilizzare i servizi digitali, servizi che consentono risparmio di costi e aumento dei profitti. Si tratta di una priorità nell'ambito del futuro Digital Single Market europeo. 

Il Gruppo Articolo 29 ha ritenuto che tali cookie non siano invasivi per la sfera privata dell'utente se il tool di analytics raccoglie dati anonimizzati e analizzati in forma aggregata. In tale prospettiva invitò ad aggiungere un terzo criterio di esenzione di cui all'articolo 5.3. Per questo motivo alcuni Garanti, compreso quello italiano, hanno fatto rientrare tali cookie (in presenza di anonimizzazione e in assenza di incrocio dei dati -leggi le istruzioni su come anonimizzare Google Analytics- con quelli di altri servizi) nella categoria generale dei cookie tecnici. Il Considerando 26 del GDPR, infine, ha stabilito espressamente che il Regolamento generale non si applica al trattamento di informazioni anonime, "anche per finalità statistiche o di ricerca". 

Quindi, abbiamo tre ipotesi: 

1) cookie anonimizzati con blocco della condivisione dei dati: sono parificati ai cookie tecnici, sono esenti da consenso, non occorre banner, ma solo l'iindicazione nell'informativa estesa; 
2) cookie anonimizzati ma con condivisione dei dati con altri servizi della terza parte: sono assimilati ai cookie di profilazione, occorre banner e consenso, non occorre la notifica del trattamento al Garante (che è a carico della terza parte); 
3) cookie non anonimizzati e dati condivisi con altri servizi della terza parte: occorre banner, consenso e invio della notifica del trattamento al Garante

Ovviamente la condivisione dei dati dipende dalla terza parte, e occorre verificare nei documenti contrattuali. E' la terza parte che si assume la responsabilità di ciò che dichiara.

 

Cookie di profilazione e marketing 

Detti cookie raccolgono informazioni tracciando i dati di navigazione al fine di realizzare una profilazione degli utenti in modo da potergli inviare pubblicità personalizzata. Hanno, quindi, un grado di invasività molto elevato. Necessitano del consenso preventivo, oltre che dell'informativa (banner), e devono scadere al massimo entro 12 mesi. La profilazione degli utenti comporta anche l'obbligo della notifica preventiva del trattamento al Garante per la privacy. La notifica è a carico del gestore del sito in caso di cookie di profilazione di prima parte, ma anche nel caso di cookie di terza parte (es. Google) se il titolare del sito può comunque accedere alle informazioni raccolte in forma disaggregata. Se invece il gestore del sito può accedere solo ai dati aggregati, la notifica è a carico della sola terza parte (che è il caso più comune). 


Cookie di terze parti

Il problema si pone principalmente per i cookie di terze parti (in base allo studio del Gruppo Article 29 il 70% dei cookie sono di terze parti) che risultano i più pericolosi per la privacy degli utenti. Infatti sono generalmente i cookie di terze parti che vengono utilizzati, appunto dalle terze parti, a fini di profilazione e tracciamento dell'utente, in modo da poter registrare la sua navigazione online, le sue preferenze, i siti visitati, le pagine viste, i link cliccati, così da poter realizzare un profilo dei gusti e indirizzare a lui, sempre grazie all'uso dei cookie, pubblicità personalizzata. 

Nel contesto della Data Protection una terza parte è la persona fisica o giuridica, autorità pubblica o ente, titolare, responsabile o incaricato del trattamento. 
Un cookie di terza parte è impostato dal titolare del trattamento distinto dal gestore del sito, mentre se il titolare del trattamento coincide col gestore del sito si parla di cookie di prima parte. 
Tale prospettiva differisce, però, rispetto all'approccio del browser, dove in quest'ultimo caso cookie di terza parte è quello impostato dal sito che appartiene ad un dominio differente rispetto al dominio visualizzabile nella barra degli indirizzi, senza alcun riferimento al trattamento dei dati. Ovviamente la definizione qui utilizzata è la prima. 

La maggiore invasività dei cookie di terze parti è dovuta al fatto che i gestori dei siti che incorporano i servizi delle terze parti non hanno un controllo diretto sui cookie delle terze parti, e quindi non hanno nemmeno una conoscenza adeguata di ciò che le terze parti raccolgono e quali trattamenti effettuano. 
Inoltre, l'utilizzo di tali cookie non è di immediata evidenza per gli utenti, i quali possono essere consapevoli della raccolta di dati da parte del gestore dei sito visitato, ma non sempre sono consapevoli della raccolta da parte di terzi. E tale raccolta avviene spesso senza nemmeno dover attendere un'azione positiva dell'utente, talvolta a seguito del mero accesso al sito vengono rilasciati dei cookie. 
Il trattamento dei dati degli utenti finisce per essere un trattamento occulto dei dati degli utenti, che ovviamente è vietato.  

Per i cookie di terze parti la normativa di dettaglio dei Garanti nazionali prevede che il gestore del sito debba inserire nella sua informativa i link alle rispettiva informative privacy delle terze parti, in modo da consentire all'utente di informarsi compiutamente sulle finalità dei cookie stessi. 


Social cookie

I principali cookie di terze parti sono quelli veicolati dai plugin sociali. I social plugin o social button sono dei widget che possono essere embeddati all'interno di una pagina web nella forma di iFrame. 
I social plugin offrono contenuti personalizzati consentendo ai visitatori di un sito di condividere un articolo sul proprio profilo di un Social Network Service (SNS) come Facebook, Twitter, LinkedIn, Google+, e così via, con un semplice click, o di interagire con le persone collegate al proprio profilo. I social plugin offrono enormi benefici sia al SNS che agli utenti medesimi, prova ne è l'adozione esponenziale degli ultimi anni. Per personalizzare il contenuto di una pagina web il plugin interagisce col SNS trasmettendo al suo server un identificativo unico, contenuto usualmente in un cookie, insieme alla url della pagina web visitata. Inoltre il SNS riceve informazioni dettagliate circa la visita dell'utente del proprio servizio ad ogni pagina contenente un social plugin. 

La personalizzazione della pagina dipende, ovviamente, dallo stato dell'utente. Se è un utente già iscritto al SNS e loggato, riceverà un elevato livello di personalizzazione. Ad esempio, nel caso di Facebook vedrà il numero degli utenti che hanno messo Like all'articolo, i nomi degli stessi, fino a visualizzare le immagini dei profili. Questo ovviamente dipende anche dalle impostazioni del plugin. Se invece l'utente non è loggato vedrà solo il numero dei Like. Se l'utente non è iscritto vedrà il numero dei Like e l'invito ad iscriversi al SNS. 

Facebook: vista utenti


I social cookie consentono al SNS di seguire la navigazione dell'utente attraverso i vari siti web, se questi presentano i social plugin. I cookie usati nei social plugin sono collegati al profilo dell'utente, il quale generalmente contiene dati personali (mail, nome, data di nascita, indirizzo) tali da consentire l'identificazione fisica dell'utente medesimo. 

Anche altre terze parti, non SNS, tracciano gli utenti attraverso la navigazione online. Sono in grado di seguire l'utente se i loro banner o avvisi pubblicitari sono presenti sul sito, e sono in grado di mostrare pubblicità personalizzata ad un utente su un determinato sito, facente parte di quel circuito pubblicitario (cioè che presenta annunci di quel particolare circuito pubblicitario, es. Adsense), in base alle scelte che quell'utente ha effettuato su un diverso sito ma facente parte dello stesso circuito. 
I circuiti pubblicitari, però, difficilmente riescono a recuperare dati dell'utente tali da identificarlo personalmente (a meno che non incrocino i dati con altri dati recuperati da differenti risorse). In genere si limitano ad un'identificazione generica dell'utente che sia utile ai fini della presentazione di pubblicità mirata. Invece i SNS sono sempre in grado di stabilire chi è l'utente, proprio perché incrociano i dati raccolti dai plugin sociali con i dati presenti direttamente sul profilo del SNS, nel quale in genere sono contenuti dati identificativi (nome, indirizzo). 
È evidente che l'intrusione nella sfera privata dell'utente è massima nel caso di utilizzo di plugin sociali

 

Altre ipotesi di esenzione da consenso

Esistono ulteriori casi nei quali non occorre il consenso per l'utilizzo di cookie. Ad esempio, l’attuazione di un contratto oppure specifici obblighi legali del gestore del sito, sono motivi validi per l’utilizzo di cookie anche in assenza di consenso. Quindi, in caso di rilevamento di dati per motivi di sicurezza del sito o per la tutela da possibili frodi, il loro utilizzo è giustificato anche in assenza di consenso. A tali ipotesi si aggiungono gli interessi legittimi del controller (cioè il titolare del trattamento), che possono giustificare l’utilizzo di cookie.

Anche in presenza di un trattamento basato sui legittimi interessi deve sempre essere possibile per l’utente richiedere la cessazione del trattamento (opt-out). 


La privacy nei social network

La regolamentazione italiana (e non solo) prevede che i cookie dei SNS debbano essere bloccati fino al consenso, con ciò impedendo la visualizzazione dei bottoni sociali appunto fino al consenso. 
In teoria tale regolamentazione appare eccessiva, se si considera che l'utente che naviga in internet già loggato in un servizio (social network) di fatto ha già dato il consenso al tracciamento tramite quel servizio. Certo, potrebbe non essere a conoscenza del fatto che anche su altri siti (quindi non sul social) viene tracciato, ma la policy privacy del social lo avverte (o quanto meno dovrebbe) di tale fatto. 

Facebook: informativa sui plugin social


Se l'utente è iscritto ad un social network e ha letto (se non lo ha fatto è però un problema suo) la policy privacy del social sa benissimo che se è loggato nel social durante la navigazione le sue attività online sono tracciate dal social network, e se incontra plugin sociali sa (o dovrebbe sapere) che le sue attività sono registrate. Ha già dato il consenso a tutto ciò, ma comunque la normativa prevede che il gestore del sito web gli chieda un nuovo ed ulteriore consenso bloccando i cookie del social. In tale prospettiva il sito terzo rispetto al social di fatto chiede all'utente un consenso assolutamente inidoneo perché non è né completo né informato, non potendo sapere né quali cookie vengono veicolati dal social attraverso il suo sito, né quali dati vengono raccolti, né cosa accade a tali dati.  
Il provvedimento del Garante italiano (ma anche altri Garanti europei si regolano in tal modo) supera, per così dire, il problema imponendo un'informazione di rimando, cioè nell'informativa estesa devono essere linkate la privacy policy del social network (o sito terzo) che vanno ad integrare l'informazione all'utente, il quale potrà visualizzarle prima di concedere il consenso che sarà raccolto dal gestore del sito web. Si tratta delle stesse privacy policy che l'utente del social network dovrebbe già aver letto e sicuramente ha già accettato al momento in cui si è iscritto al social. Ecco che l'informazione diventa ridondante (a scapito della semplificazione, obiettivo della riforma della Data Protection europea). 

In realtà i plugin social vanno ben oltre gli scopi per i quali sono utilizzati normalmente dagli utenti, quindi ben oltre la semplice condivisione di dati e informazioni sui social, tracciando e raccogliendo tutti i dati di navigazioni degli utenti. Il punto è che alcune aziende, purtroppo, forzano un po' le normative. Secondo uno studio del Garante belga alcune aziende tracciano, tramite i plugin sociali, anche i visitatori di un sito che non sono però loggati al social network, o addirittura che non sono nemmeno iscritti al social. Di fatto tracciano la navigazione di ogni utente (realizzando i cosiddetti shadow profiles, i quali generalmente contengono informazioni recuperate da amici e contatti -es. scansionando l'elenco contatti di un utente Facebook si ottengono i numeri di telefono anche di soggetti non iscritti a Facebook-), indipendentemente da un eventuale preventivo consenso. Da cui la necessità di un ulteriore onere a carico del gestore del sito web. 

Il gestore del sito deve rispondere delle sue scelte, quindi se inserisce degli script o iframe (parliamo sempre dei social plugin, ma anche delle mappe di Google, ed altro) deve farsi carico di informare gli utenti per l'uso di tali plugin (e quindi dei cookie che veicolano) e della raccolta del consenso. Insomma il gestore di un sito chiederebbe il consenso per il suo uso, non quello del social. 
Purtroppo se così fosse il consenso reso al gestore del sito sarebbe assolutamente invalido, in quanto non conforme (non informato) alle norme sulla Data Protection, visto che il gestore di un sito non può fare altro che dire di utilizzare cookie, senza sapere quali e senza sapere null'altro sui dati raccolti e l'utilizzo degli stessi. 
Lo spezzare in due parti il processo di raccolta del consenso non aiuta, a meno che nelle policy privacy delle aziende profilanti (e infatti le aziende si stanno orientando il tal senso) non sia esplicitamente imposto al gestore di un sito che utilizza i suoi servizi (tipo i social plugin) di raccogliere tale consenso al posto loro, così di fatto nominando il gestore del sito quale responsabile del trattamento. 

Tale onere appare come una sorta di responsabilità oggettiva per comportamento altrui, laddove l'unico addebito a carico del gestore del sito è di aver voluto utilizzare i plugin sociali. Se il gestore di un sito risponde dell'uso normale di un social plugin (tracciamento degli utenti loggati) può doverne rispondere in generale per qualsiasi tipo di utilizzo anche non usuale o in violazione delle leggi (tracciamento di soggetti non loggati o non iscritti)? 


Limitazioni della Cookie Law

La Direttiva europea (la Data Protection) si applica a tutti i sistemi di tracciamento, compreso il finger printing, mentre invece la norma sui cookie (cosiddetta Cookie Law) ovviamente si applica solo ai cookie e alle tecnologie similari. Detta limitazione è fondamentale per comprendere le problematiche attuali. Infatti i cookie, come accennato sopra, sono ormai una tecnologia vecchia e destinata a scomparire, per essere sostituita da tecnologie di tracciamento completamente diverse e forse non rientranti nella regolamentazione della Cookie Law. 
Esistono innumerevoli sistemi di tracciamento che non utilizzano cookie o tecnologie similari, ma raccolgono dati sull'attività nel web di utenti e loro dispositivi, e senza alcun consenso in quanto non è ancora previsto alcun obbligo. 

La reazione dell'opinione pubblica non è uniforme, a fronte di una discreta assenza di consapevolezza rispetto a tali problematiche, nel senso che moltissimi utenti non hanno alcuna conoscenza di essere tracciati online o di quanto profondo è il monitoraggio della loro attività online, molti utenti rimangono indifferenti a tali questioni preferendo annunci personalizzati, consci che ciò è possibile solo con una profilazione delle proprie attività. Di contro però altri utenti trovano inquietante ritrovare annunci estremamente pertinenti alle scelte e alle ricerche online appena realizzate. 

In risposta alle polemiche del pubblico, la Digital Advertising Association (DAA), per rintuzzare la minaccia della più stringente nuova regolamentazione europea, ha lanciato da tempo un sistema di autoregolamentazione, chiamato AdChoices. un sito web dove è possibile impostare un opt-out non tanto rispetto al tracciamento, che comunque avviene, quanto piuttosto agli annunci personalizzati. Detto sistema, però, è comunque regolato tramite cookie (quindi se vengono cancellati i cookie deve essere reimpostato), e non ha una copertura completa. Il problema principale è che non impedisce il tracciamento, e quindi la profilazione. 

Ciò comporta che la Cookie Law nasca già irrimediabilmente vecchia e del tutto incapace di risolvere i problemi inerenti alla privacy dei navigatori online, la cui unica possibilità è di utilizzare estensioni del browser che in qualche modo riconoscano e blocchino i tracker. Una delle migliori risulta Privacy Badger che non si occupa di bloccare gli annunci pubblicitari quanto piuttosto di impedire ai tracker di terze parti di profilare l'utente. Il blocco di alcuni annunci è, quindi, solo una conseguenza del funzionamento dell'estensione il cui scopo è la tutela della privacy dell'utente, non certo impedire la visualizzazione dei fastidiosi banner pubblicitari (per i quali esistono altre estensioni appositamente predisposte). 

 

Regolamentazione futura

La regolamentazione dei cookie verrà ulteriormente modificata a seguito dell'entrata in vigore del Regolamento ePrivacy che sostituirà l'attuale direttiva.

 

Infografica cookie del Garante Privacy
Infografica del Garante Privacy (fonte)